تم الكشف عن سرقة عملات مشفرة ضخمة على blockchain م...

أصبحت عملة رمزية غامضة نسبيًا تسمى ATM، والتي تم نشرها على سلسلة BNB الذكية (BSC) بالدولار، أحدث ضحية لثغرة أمنية في العقود الذكية. استنزف أحد المهاجمين ما يقرب من 243,500 دولار أمريكي عن طريق استغلال المنطق غير القياسي في وظيفة TransferFrom() الخاصة بالرمز المميز.

أبلغت منصات المراقبة الأمنية TenArmor عن الحادث في 4 يونيو 2026. وسلطت التنبيهات الضوء على كيف يمكن لآليات الرمز المميز المخصصة، والتي تتم إضافتها غالبًا للرسوم أو توفير السيولة أو المكافآت، أن تخلق نقاط ضعف خطيرة قابلة للاستغلال عندما لا يتم تأمينها بشكل صحيح.

#سيرتيكينسايت

لقد شهدنا استغلالًا بقيمة 243 ألف دولار تقريبًا على رمز ماكينة الصراف الآلي. يتضمن TransferFrom() منطقًا لمبادلة مبلغ تحويل 20% من أجهزة الصراف الآلي مقابل BSC-USD، بحيث يمكن للمهاجم تبديل المبلغ الإضافي بشكل متكرر بعد التحويل.https://t.co/mf6uhujZgK

كن يقظًا! pic.twitter.com/hwN1B3Xt0m

– تنبيه CertiK (CertiKAlert) 4 يونيو 2026

وفقًا لتحليل CertiK، تكمن المشكلة الأساسية في تنفيذ عقد النقل من () الخاص بعقد الرمز المميز. بدلاً من إجراء تحويل رمزي قياسي، قامت الوظيفة تلقائيًا بتشغيل مبادلة 20٪ من مبلغ أجهزة الصراف الآلي المحولة إلى BSC-USD (أو ما يعادله) من خلال جهاز توجيه تبادل لامركزي.

سمح هذا السلوك الخفي للمهاجم ببدء عمليات النقل بشكل متكرر والتي استخرجت قيمة أكبر بكثير مما تسمح به الموافقات العادية. تجزئة معاملة الهجوم الرئيسية هي: 0x37b90a…dcfd86

عنوان العقد: 0x4fd087…d5a205

اكتشفت تنبيهات أمان Blockchain النشاط المشبوه في مرحلة مبكرة. ارتبط عنوان المهاجم، 0x7e7C1f…CdBAFE، باستغلال عقود الرمز المميز السابقة منذ عام 2025. ولم يعتمد الهجوم على القروض السريعة أو إعادة الدخول ولكنه استفاد من الآثار الجانبية الاقتصادية غير المقصودة لمنطق النقل المخصص.

يضيف هذا الحادث الأخير إلى موجة مثيرة للقلق من عمليات الاستغلال على سلسلة BNB $. قبل أيام فقط، تعرضت TesseraDAO لهجوم كبير حيث قام المستغل بسك ما يقرب من 99 مليون رمز TSR، وتخلص منها، واستنزف حوالي 2.5 مليون دولار من USDT. لقد تحطم رمز TSR بنسبة 99٪ تقريبًا بعد الحادث.

المعلومات العامة حول مشروع ATM لا تزال قليلة للغاية. لا يوجد موقع رسمي أو ورقة عمل أو خريطة طريق مفصلة متاحة على نطاق واسع. لا يبدو أن المشروع عبارة عن بروتوكول DeFi رئيسي، ولم يتم توثيق التفاصيل المتعلقة بحالة الاستخدام المقصودة أو خلفية الفريق أو القيمة الإجمالية المقفلة (TVL) قبل الاستغلال بشكل جيد.

اعتبارًا من 5 يونيو 2026، لم يصدر فريق مشروع ATM أي بيان عام رسمي بخصوص الحادث، سواء تم إيقاف العقد مؤقتًا، أو حالة السيولة، أو أي جهود للتعافي.

ونقاط الضعف هذه ليست معزولة. في أواخر مايو 2026، استغل المهاجمون خزائن السيولة القديمة على DxSale واستنزفوا ما يقرب من 7.3 مليون دولار من أكثر من 1400 مجموعة من خلال التلاعب بالطوابع الزمنية لفتح القفل وسحب رموز LP المميزة. وهذا يوضح كيف أن السيولة "المقفلة" الأقدم من الدورات السابقة يمكن أن تظل معرضة للخطر.

تعد هذه الحادثة بمثابة مثال كلاسيكي على المخاطر المرتبطة بآليات الضريبة الجمركية على التحويل أو المبادلة التلقائية في العقود المشابهة لـ ERC-20. في حين أن هذه الميزات يمكن أن تخدم أغراضًا مشروعة، إلا أنها تزيد بشكل كبير من التعقيد ومساحة الهجوم.

يحذر خبراء أمان Blockchain باستمرار من أن الجمع بين TransferFrom() والمكالمات الخارجية، مثل أجهزة توجيه DEX، يتطلب تدقيقًا صارمًا وتحققًا رسميًا واختبارًا مكثفًا لحالة الحافة.

تحقق دائمًا من العقود الذكية جيدًا قبل التفاعل معها.

قم بإلغاء الموافقات على الرموز المميزة بانتظام، خاصة بالنسبة للرموز المميزة غير المعروفة أو ذات الحد الأقصى المنخفض.

تفضيل المشاريع التي تحتوي على عمليات تدقيق مستقلة متعددة وممارسات أمنية شفافة.

على الرغم من أن هذا يعد استغلالًا متوسط الحجم وفقًا لمعايير عام 2026، إلا أن مثل هذه الحوادث تستمر في تقويض الثقة في نظام التمويل اللامركزي الأوسع. تظل الرموز الصغيرة الموجودة على سلاسل مثل $BNB Smart Chain أهدافًا متكررة بسبب عمليات النشر السريعة والإجراءات الأمنية غير الكافية.

يُنصح المستخدمون بشدة بتوخي الحذر الشديد عند التعامل مع الرموز المميزة الجديدة أو منخفضة الرؤية.